PT-2021-14476 · Ampache · Ampache
Lachlan-00
·
Publicado
2021-04-13
·
Atualizado
2022-10-21
·
CVE-2021-21399
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ampache anteriores à 4.4.1
Descrição
A vulnerabilidade permite o acesso não autenticado ao Ampache por meio da API do Subsonic. Para explorar essa vulnerabilidade, um invasor deve usar um
username que não faça parte do site para contornar as verificações de autenticação.Recomendações
Para versões anteriores à 4.4.1, atualize para a versão 4.4.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API Subsonic até que um patch seja aplicado. Evite usar valores de
username desconhecidos ou não verificados na API Subsonic para minimizar o risco de exploração.Exploit
Correção
Improper Authentication
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ampache